Czym jest phishing?

Phishing to sztuka wykradania informacji od użytkowników lub firm poprzez odpowiednio przygotowane wiadomości elektroniczne wykorzystujące techniki inżynierii społecznej. Im lepiej przygotowany atak, tym mniejsze ryzyko, że użytkownik się zorientuje.

Phishing

Phishing jest metodą wyłudzania znaną od połowy lat dziewięćdziesiątych ubiegłego wieku Zaczęło się od grupy nastolatków, którzy podszyli się pod administratorów chat roomów AOL. Potrzebowali numerów kart kredytowych, aby zapewnić sobie stały i bezpłatny dostęp. 

AOL miał specjalny chatroom dla nowych członków, gdzie można było poprosić o pomoc w uzyskaniu dostępu. Haker, znany jako Da Chronic, wraz z przyjaciółmi stworzył coś, co przypominało prawdziwy ekran administratora AOL, taki jak „BillingAccounting ,” i poinformowali użytkownika, że wystąpił problem z dostępem. 

Użytkownik podaje numer karty kredytowej, aby rozwiązać problem. W ten sposób hakerzy zdobyli numer karty płatniczej, przy pomocy której mogli płacić za swoje usługi. W tym czasie został wymyślony termin phishing. Obecnie jest on kojarzony z oszukańczymi wiadomościami e-mail. Do dnia dzisiejszego oszustwa metodą phishingową są jednymi z najczęstszych. Od nich wywodzi się około 90% udanych kradzieży danych.

Ponieważ phishing opiera się głównie na inżynierii społecznej, konieczne jest zrozumienie, w jaki sposób działają atakujący, wykorzystujący ludzką naturę. Po pierwsze, inżynieria społeczna jest oszustwem, które hakerzy wykorzystują, aby przekonać użytkowników do zrobienia czegoś, czego normalnie nigdy by nie zrobili.

Może przybrać tak prostą formę, jak poproszenie kogoś o otwarcie drzwi, bo ma się zajęte ręce. Inną techniką inżynierii społecznej jest upuszczenie na parkingu przenośnej pamięci USB podpisanej „zdjęcia rodzinne”.

Pamięć USB może zawierać malware, które zainstaluje się na komputerze, narażając jego bezpieczeństwo. Nazwa tej techniki to baiting.

Nazwa phishing jest głównie używana w odniesieniu do ogólnych ataków poprzez pocztę elektroniczną, podczas których wiadomości e-mail są wysyłane na jak największą liczbę adresów z wykorzystaniem powszechnie używanych usług, takich jak PayPal czy Bank of America.

W wiadomości jest napisane, że doszło do włamania na konto i należy kliknąć odnośnik, aby sprawdzić, czy wszystko jest w porządku. Skutki kliknięcia tego łącza mogą być dwojakie:

  1. Przeniesienie użytkownika na fałszywą stronę internetową, która wygląda identycznie, zamiast www.PayPal.com. Zwróć uwagę na dodatkowe „s” w pierwszym adresie. Jeśli użytkownik zostanie przeniesiony na fałszywą stronę WWW, gdy będzie próbował zalogować się na swoje konto, mogą zostać przechwycone jego identyfikator i hasło.

    W ten sposób haker może uzyskać dostęp do konta bankowego i wytransferować z niego środki gdzie tylko zechce. Jest jednak jeszcze druga możliwość. Haker może zdobyć hasło, które dana osoba wykorzystuje do logowania do innych kont, takich jak Amazon czy eBay.
  2. Zainfekowanie komputera użytkownika pobranym malware (złośliwym oprogramowaniem). Po instalacji taki program może zostać wykorzystany do przeprowadzenia ataków w przyszłości. Może to być na przykład aplikacja zapisująca naciskane klawisze, a więc rejestrująca loginy i numery kart kredytowych, albo oprogramowanie ransomware szyfrujące zawartość dysku twardego i żądające zapłaty za jej rozszyfrowanie, najczęściej w bitcoinach.

    Bardzo prawdopodobnym scenariuszem jest wykorzystanie komputera użytkownika jako kopalni bitcoinów. Może się to odbywać w czasie, gdy użytkownik nie korzysta z komputera lub przez cały czas przez wykorzystanie części mocy obliczeniowej procesora. Wówczas haker wydobywa bitcoiny, a użytkownik ma wolniej działający komputer.

W toku wielu lat ewolucji phishing przybrał wiele form. Hakerzy zrobią wszystko, aby coś zdobyć, najczęściej pieniądze.

Ataki typu phishing

Atak phishingowy jest działaniem lub serią działań, które podejmuje haker, aby wyprowadzić w pole użytkownika. Klasyczne phishingowe wiadomości e-mail są zazwyczaj napisane niedbale i niepoprawnie gramatycznie, dzięki czemu dość łatwo można je rozpoznać.

Jednak hakerzy stosują coraz bardziej zaawansowane techniki ataku. Wciąż sprawdza się wiele prostych metod ataku z wykorzystaniem ludzkich emocji, na przykład pragnienia posiadania kontroli, oburzenia czy zwykłej ciekawości.

Atak na RSA z 2011 roku był skierowany przeciwko zaledwie czterem osobom w organizacji. Sama wiadomość e-mail nie była zbyt wyszukana, ale osiągnęła cel, ponieważ została skierowana do konkretnych osób. Wyglądała interesująco dla tych osób, ale już nie tak bardzo interesująco dla innych. Zawierała załącznik zatytułowany „Plan rekrutacji 2011.xls.

Dowiedz się więcej

Typy phishingu

Istnieje wiele rodzajów ataków phishingowych. Zaliczają się do nich klasyczne ataki z wykorzystaniem poczty elektronicznej, przez media społecznościowe oraz techniki o dziwnie brzmiących nazwach smishing i vishing. Podstawy phishingu opierają się na ludzkiej naiwności.

  • Phishing — zwykle wykorzystuje pocztę elektroniczną
  • Spear phishing — ściśle ukierunkowany rodzaj ataku z wykorzystaniem poczty elektronicznej
  • Whaling — precyzyjnie ukierunkowany rodzaj ataku z wykorzystaniem poczty elektronicznej, którego celem najczęściej są osoby na wysokich stanowiskach
  • Phishing wewnętrzny — ataki phishingowe inicjowane wewnątrz organizacji
  • Vishing — rodzaj ataku przeprowadzanego przez rozmowę telefoniczną
  • Smishing — wykorzystuje wiadomości tekstowe
  • Phishing przez media społecznościowe — wykorzystuje wpisy na Facebooku lub w innych mediach społecznościowych
  • Pharming — celem jest bufor DNS
     

Dowiedz się więcej

Phishing wewnętrzny

Coraz większym problemem stają się wewnętrzne ataki phishingowe. Ich cechą charakterystyczną jest to, że oszustem wysyłającym fałszywą wiadomość jest zaufana osoba z tej samej organizacji. Ponieważ wiadomość pochodzi od zaufanej osoby, istnieje większe prawdopodobieństwo, że odbiorca kliknie łącze, otworzy załącznik lub przekaże żądaną informację. 

Aby wysyłać wewnętrzne wiadomości phishingowe, napastnik musi skraść dane uwierzytelniające do skrzynki pocztowej ofiary. Ponadto przestępca może uzyskać fizyczny dostęp do urządzenia użytkownika, które zostało zgubione lub pozostawione bez opieki albo za pośrednictwem zainstalowanego w nim malware. Wewnętrzne phishingowe wiadomości elektroniczne są częścią wieloetapowych ataków, których celem końcowym jest np. zażądanie okupu (ransomware) lub kradzież środków finansowych bądź zasobów intelektualnych.

Smishing

Smishing jest szczególnym rodzajem ataku, który wykorzystuje urządzenia mobilne. Obecnie sprzedaje się więcej urządzeń mobilnych niż komputerów. Nic więc dziwnego, że hakerzy zaczęli wykorzystywać tę platformę w celu kradzieży danych osobowych. Wysyłając wiadomość tekstową na telefon użytkownika, informują go o problemie z jego rachunkiem oraz proszą o telefon w celu wyjaśnienia sprawy. 

Niesamowite jest to, że jeśli ofiara zadzwoni pod podany numer, haker od razu odbierze telefon. Nie trzeba przedzierać się przez gąszcz opcji, aby w końcu trafić do kolejki oczekujących na rozmowę z konsultantem. Hakerzy stworzyli firmy, które płacą swoim pracownikom, terminowo, m.in. za odbieranie telefonów.

Jeśli użytkownicy nie odpowiedzą na wiadomość tekstową, hakerzy po prostu dzwonią do nich, mówiąc coś w rodzaju „Państwa konto zostało zaatakowane, musimy potwierdzić szczegóły Państwa rachunku, aby wyjaśnić sprawę. Jeśli hakerzy wybiorą odpowiednią liczbę numerów, ktoś w końcu z nimi porozmawia. To nazywa się Vishing.

Dowiedz się więcej o smishingu.

Phishing w sieciach społecznościowych

Media społecznościowe stały się ważnym elementem naszego internetowego świata, który hakerzy wykorzystują przeciwko nam. W dzisiejszych czasach mamy do wyboru wiele tego typu portali, od Facebooka, przez LinkedIn i Instagram po wiele innych. Hakerzy również korzystają z tych platform, powodując wiele problemów. 

Jednym z popularnych typów ataku jest umieszczanie wpisów na kontach swoich znajomych z informację o atrakcyjnej wyprzedaży (umieść tutaj coś interesującego, np. wysokiej jakości okularów przeciwsłonecznych. Jeśli klikniesz to łącze, też możesz skorzystać z promocji. 

Wymaga to wcześniejszego włamania się na czyjeś konto na Facebooku. W wielu przypadkach nie będzie z tym żadnego problemu. Jeśli doszło do naruszenia bezpieczeństwa serwerów w jakiejś firmie, którego skutkiem jest wyciek haseł, hakerzy próbują logować się na platformy takie jak Facebook czy LinkedIn, używając przejętych kombinacji adresu e-mail i hasła.

Dowiedz się więcej o phishingu w sieciach społecznościowych.

Pharming

Ponieważ użytkownicy zaczęli coraz skuteczniej unikać ataków phishingowych, hakerzy stworzyli nowe rodzaje ataków. Pharming bierze na cel bufor DNS na komputerze użytkownika. W tym celu haker wykorzystuje opcję automatycznego pobierania plików. 

Podczas gdy użytkownik przegląda strony internetowe, atakujący wykorzystuje luki bezpieczeństwa, które często występują na tych stronach. Dość łatwo jest zmienić kod HTML danej strony internetowej w taki sposób, aby pobierała informacje, gdy tylko ktoś na nią wejdzie.

Jeśli na przykład użytkownik nie kliknie łącza w wiadomości e-mail z informacją o zagrożeniu bezpieczeństwa jego konta bankowego, wówczas haker po prostu poczeka, aż ten połączy się ze swoim bankiem. Zmienione dane z bufora DNS przekierują użytkownika na podrobioną przez hakera wersję strony internetowej banku. Użytkownik wprowadza login i hasło i voila, hakerzy mają już jego dane do logowania, dzięki którym mogą wejść na konto i je okraść.

Jak zapobiegać phishingowi?

Każdy może podjąć pewne środki ostrożności we własnym zakresie:

  • Włączenie uwierzytelniania dwuskładnikowego (2FA) wszędzie, gdzie jest to możliwe.
  • Używanie oprogramowania antywirusowego.
  • Używanie zapór sieciowych.
  • Podejrzliwe traktowanie wyskakujących okienek wszelkiego rodzaju.
  • Podejrzliwe traktowanie załączników do poczty elektronicznej zarówno ze znanych, jak i nieznanych źródeł.
  • Podejrzliwe traktowanie SMS-ów i wiadomości z komunikatorów internetowych zarówno ze znanych, jak i nieznanych źródeł, które zachęcają do odwiedzenia jakiejś strony lub żądają podania danych.
  • Nie ujawniaj swoich danych osobowych. Kropka. Chyba że ktoś ma bardzo ważny powód, aby postąpić inaczej.

Obok powyższych rekomendacji dla pracowników, organizacja powinna także:

  • Filtrować na wejściu phishingowe wiadomości e-mail i złośliwy ruch sieciowy.
  • Uwierzytelniać nadawców wiadomości e-mail przez DMARC.
  • Filtrować phishingowe wiadomości e-mail wg nadawcy, treści, adresów URL i załączników, poszukując charakterystycznych cech phishingu za pomocą technik statycznych i dynamicznych.
  • Wdrożyć zaawansowane mechanizmy filtracji korzystające z AI, które wykrywają ataki typu BEC i ataki mające na celu kradzież danych logowania
  • Zapobiegać wewnętrznym atakom phishingowym za pomocą rozwiązania zintegrowanego poprzez API z platformą obsługi poczty elektronicznej w chmurze lub lokalną. Rozwiązania takie są dostępne dla usług Microsoft Office 365, Google G Suite, Microsoft Exchange Server i IBM Domino server.

Tematy dotyczące phishingu